4
DIN ISO/IEC 27001 Systematisches Management der Informationssicherheit 30 cronos info 35 · Dezember 2014 IT-Strategie

Systematisches Management der Informationssicherheit Info/ci 35/DIN ISO_IEC 27… · Der IT-Sicherheitskatalog soll Ende 2014 verbindlich in Kraft treten und ist dann unabhängig

  • Upload
    others

  • View
    2

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Systematisches Management der Informationssicherheit Info/ci 35/DIN ISO_IEC 27… · Der IT-Sicherheitskatalog soll Ende 2014 verbindlich in Kraft treten und ist dann unabhängig

DIN ISO/IEC 27001 Systematisches Management der

Informationssicherheit

30 cronos info 35 · Dezember 2014IT-Strategie

Page 2: Systematisches Management der Informationssicherheit Info/ci 35/DIN ISO_IEC 27… · Der IT-Sicherheitskatalog soll Ende 2014 verbindlich in Kraft treten und ist dann unabhängig

Die Bundesnetzagentur

(BNetzA) plant, Netzbe-

treiber zum Betrieb eines

sicheren Energieversorgungs-

netzes für Strom und Gas auf

Basis § 11 Abs. 1a EnWG zu

verpflichten. In diesem Zusam-

menhang rückt der Schutz der

Telekommunikations- und elek-

tronischen Datenverarbeitungs-

systeme zur Netzsteuerung ge-

genüber möglichen Bedrohun-

gen in den Fokus. Die BNetzA

hat hierzu in Abstimmung mit

dem Bundesamt für Sicherheit

in der Informationstechnik (BSI)

einen Katalog von Sicherheitsan-

forderungen veröffentlicht und

zur Konsultation gestellt.

Kernforderungen dieses IT-Si-

cherheitskatalogs sind:

die Einführung und Etablie-

rung eines Informationssicher-

heitsmanagementsystems

(ISMS) gemäß DIN ISO/IEC

27001 (ISO 27001)

die Zertifizierung dieses Sys-

tems durch eine unabhängige,

hierfür zugelassene Stelle

innerhalb eines Jahres nach

Inkrafttreten des IT-Sicher-

heitskataloges

die Benennung eines IT-Sicher-

heitsbeauftragten als An-

sprechpartner für die BNetzA

innerhalb von zwei Mona-

ten nach Inkrafttreten des

IT-Sicherheitskataloges

Der IT-Sicherheitskatalog soll

Ende 2014 verbindlich in Kraft

treten und ist dann unabhängig

von der Größe oder Anzahl der

angeschlossenen Kunden von al-

len Netzbetreibern umzusetzen.

Vor diesem Hintergrund besteht

bei allen Netzbetreibern akuter

Handlungsbedarf hinsichtlich

Aufbau und Zertifizierung eines

ISMS.

Aufbau eines ISMS für einen

Netzbetreiber

Ein ISMS soll den Schutz der

Informationen eines Netzbetrei-

bers sicherstellen.

Als Informationen werden im

Sinne von ISO 27001 nicht nur

elektronisch in IT-Systemen

gespeicherte Daten betrachtet.

Vielmehr geht es unabhängig

von der Erscheinungsform

sowie Art der Nutzung und

Speicherung um alle Informa-

tionen, die einen Wert für den

Netzbetreiber darstellen. Somit

umfasst der Begriff „Informa-

tionssicherheit“ mehr Aspekte

als die reine „IT-Sicherheit“,

ist aber enger gefasst als das

allgemeine Verständnis von Si-

cherheit, da Netzbetreiber auch

noch über andere zu schützende

Werte (z. B. die Netze selbst)

verfügen (Abbildung 1).

Wesentliche Schutzziele gemäß

ISO 27001 sind die Vertrau-

lichkeit, die Integrität und die

Verfügbarkeit der Informationen

(Abbildung 2).

Ein ISMS für einen Netzbetrei-

ber ist eine Aufstellung von Ver-

fahren und Regeln, welche dazu

dienen, die Informationssicher-

heit dauerhaft

zu definieren

umzusetzen

zu überwachen und

fortlaufend zu verbessern

Ein ISMS ist somit nicht statisch,

sondern muss im Sinne des

PDCA-Ansatzes von Deming in

einem Regelprozess kontinuier-

lich angepasst und verbessert

werden (Abbildung 3):

Die ISO 27001 legt allgemeine

Mindestanforderungen für die

Ausgestaltung eines ISMS so-

wie Maßnahmenziele und Maß-

nahmen für das Management

der Informationssicherheit fest.

Zur Umsetzung dieser Maßnah-

men werden in der DIN ISO/

IEC 27002 branchenunabhängi-

ge Anleitungen – basierend auf

Best Practices – definiert. Diese

werden in der DIN SPEC 27009

im Sinne eines Leitfadens für

das Informationssicherheitsma-

nagement von Steuerungssys-

temen der Energieversorgung

branchenspezifisch ergänzt und

konkretisiert.

Die konkrete Ausgestaltung

eines ISMS und die Ange-

messenheit der Maßnahmen

Abb. 2: Wesentliche Schutzziele für Informationen

Abb. 3: Lebenszyklus eines ISMS

Abb. 1: IT-Sicherheit vs. Informationssicherheit vs. Sicherheit

• SCHUTZ VOR UNBERECHTIGTER

VERÄNDERUNG, VERLUST ODER ZERSTÖRUNG

INTEGRITÄT

• SCHUTZ DER BERECHTIGTEN

ZUGÄNGLICHKEIT UND VERWENDBARKEIT

VERFÜGBARKEIT

• SCHUTZ VOR UNBERECHTIGTEM

ZUGRIFF VERTRAULICHKEIT

ISMS planen / definieren

PLAN

ISMS umsetzen / betreiben

ISMS überwachen /

überprüfen

ISMS instand halten /

verbessern DO

CHECK

ACT

Sicherheit

Informations-

sicherheit

IT-Sicherheit

31cronos info 35 · Dezember 2014 IT-Strategie

Page 3: Systematisches Management der Informationssicherheit Info/ci 35/DIN ISO_IEC 27… · Der IT-Sicherheitskatalog soll Ende 2014 verbindlich in Kraft treten und ist dann unabhängig

sind jedoch vom individuellen

Schutzbedarf des Netzbetrei-

bers abhängig. Für den Aufbau eines ISMS empfiehlt cronos die Vorgehensweise wie in Abb. 4 dargestellt.

Wie dargestellt, sollte die Vorbe-reitung für die Zertifizierung be-reits beim Aufbau des ISMS mit berücksichtigt werden.

Zertifizierung eines ISMS für

einen Netzbetreiber

Aufgrund der Forderung des IT-Sicherheitskataloges der BNetzA stellt sich für Netzbe-treiber zukünftig nicht mehr die Frage, ob das ISMS nach ISO 27001 zertifiziert werden soll oder nicht. Stattdessen verblei-ben primär zwei Fragen:

1. Welches von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierte Unternehmen soll die Zertifizierung durch-führen?

2. Wie soll das Vorgehen zur Durchführung der Zertifizie-rung gestaltet werden?

Auswahl des Zertifizierers

Stand Oktober 2014 sind insge-samt 17 Unternehmen von der DAkkS für die Zertifizierung von ISMS gemäß ISO 27001 akkre-ditiert (siehe Abbildung 5).

Wie bei jeder zu beschaffenden Dienstleistung relevanter Grö-ßenordnung lohnt es sich, den Zertifizierer systematisch auszu-wählen, zumal man bis zum ers-ten Wiederholungsaudit – also mindestens drei Jahre – vertrag-lich an ihn gebunden ist.

Wir empfehlen folgende drei-stufige Vorgehensweise:

1) Screening der Zertifizierer: Bildung einer Shortlist von vier bis fünf Zertifizierern auf Basis einer Bewertung öf-fentlich verfügbarer Informa-tionen über den Zertifizierer

2) Bewertung der Angebote der Zertifizierer: Auswahl von zwei bis drei Zertifizierern auf Basis einer

Abb. 5: Bei der DAkkS akkreditierte Unternehmen für die Zertifizierung eines ISMS nach ISO 27001 (Stand 16.10.2014)

Abb. 4: Vorgehensweise zum Aufbau eines ISMS für Netzbetreiber

Definition der Maßnahmen für die Beseitigung der identifizierten Schwachstellen sowie für das

Management der identifizierten Risiken

Ergebnis: Erforderliche Maßnahmen sind definiert,

bewertet, priorisiert und geplant

Definition des Geltungsbereiches (Scope) des ISMS, der Informations-sicherheitspolitik und Benennung des

ISMS-Beauftragten

Ergebnis: Grundlagen für die Ausgestaltung des ISMS sind definiert

und mit der Unternehmensleitung abgestimmt

Vorbereitung auf die Zertifizierung des ISMS und Planung der Durchführung des

Zertifizierungsaudits

Ergebnis: Zertifizierungsaudit ist geplant und relevante

Mitarbeiter sind auf das Zertifizierungsaudit vorbereitet

Definition der ISMS-Grundlagen

Durchführung der Ist-Analyse

Definition der Maßnahmen

Umsetzung der Maßnahmen

Vorbereitung der Zertifizierung

Interviews zur SWOT-Analyse der für die Netzsteuerung relevanten IT- und TK-Assets, der Dokumentation

und Richtlinien sowie der Bedrohungen und deren

Auswirkungen Ergebnis: Analyse der Stärken,

Schwächen, Chancen und Risiken der ITK-Assets

Schrittweise Umsetzung derdefinierten Maßnahmen für die Einführung des ISMS und Kontrolle

der Wirksamkeit der umgesetzten Maßnahmen z.B.

im Rahmen eines Voraudits Ergebnis: Erforderliche Maßnahmen

zur Etablierung des ISMS wurden systematisch umgesetzt

Unternehmen Standort

Comgroup GmbH Bad Mergentheim

DEKRA Certification GmbH Stuttgart

Deloitte Certification Services GmbH Düsseldorf

DeuZert GmbH Deutsche Zertifizierung in Bildung

und Wirtschaft

Wildau b. Berlin

DQS GmbH – Deutsche Gesellschaft zur

Zertifizierung von Managementsystemen

Frankfurt am Main

infaz – Institut für Auditierung und

Zertifizierung GmbH

Neuss

KPMG Cert GmbH Umweltgutachter organisation Köln

PERSICON Cert AG Berlin

Technischer Überwachungs-Verein Thüringen e. V.

Zertifizierungsstelle für Systeme und Personal

Jena

TÜV AUSTRIA Deutschland GmbH Gauting

TÜV InterCert GmbH Group of TÜV Saarland Bonn

TÜV NORD CERT GmbH Essen

TÜV Rheinland Cert GmbH Köln

TÜV Saarland e.V. TÜV SAAR CERT Sulzbach

TÜV SÜD Management Service GmbH München

TÜV-Zertifizierungsstelle der TÜV Technische Über-

wachung Hessen GmbH

Darmstadt

UIMCert GmbH Wuppertal

32 cronos info 35 · Dezember 2014IT-Strategie

Page 4: Systematisches Management der Informationssicherheit Info/ci 35/DIN ISO_IEC 27… · Der IT-Sicherheitskatalog soll Ende 2014 verbindlich in Kraft treten und ist dann unabhängig

Bewertung des schriftlich angeforderten Angebots für die Durchführung der Zertifi-zierung

3) Präsentation der Angebote durch die Zertifizierer: Auswahl eines Zertifizierers auf Basis einer Bewertung der persönlichen Präsenta-tion der Angebote durch die Zertifizierer

In allen drei Schritten sollten Bewertungskriterien definiert und ggf. gewichtet werden, um die Auswahl des Zertifizierers möglichst objektiv und nach-vollziehbar zu gestalten. Als wesentliche Kriterien sollten ne-ben der Qualität des Angebots unbedingt die Kompetenzen der angebotenen Auditoren in der Energieversorgungsbranche be-rücksichtigt werden. Im Sinne der Akzeptanz der Vorgehens-weise und Auswahl des Zertifi-zierers sollte zudem mindestens beim dritten Schritt auch das oberste Management eingebun-den werden.

Die Auswahl des Zertifizierers kann sinnvollerweise frühestens nach der Festlegung der ISMS-Grundlagen erfolgen. Im Idealfall sollte sie aber aus den nachfol-gend dargelegten Gründen be-reits vor der Umsetzung der Maß-nahmen abgeschlossen sein.

Vorgehensweise der Zertifi-

zierung

Der Zertifizierer prüft die Kon-formität des ISMS mit ISO 27001 durch eine Unterlagen-prüfung sowie durch ein Vor-Ort-Audit. Die Vorgehensweise lässt sich zusammenfassend wie in Abbildung 6 darstellen.

Gegenstand der Prüfung der ISMS-Unterlagen sind sämtli-che Dokumente zur Definition und zum Status der Umsetzung des ISMS wie die Definition des Anwendungsbereiches und des Scopes des ISMS, die ISMS-Leitlinie, die Definition des Ver-fahrens für das Risikomanage-ment, Korrekturmaßnahmen etc. Die Prüfung dieser Unterla-gen erfolgt i. d. R. innerhalb von sechs Wochen durch die Audi-toren des beauftragten Zertifi-zierers. Die Ergebnisse der Un-terlagenprüfung können Korrek-turmaßnahmen am ISMS und seiner Umsetzung erfordern. Daher sollten diese Ergebnisse möglichst frühzeitig vorliegen, damit sie noch rechtzeitig in die Umsetzung der Maßnahmen für die Etablierung des ISMS mit einfließen können.

Bevor das Vor-Ort-Audit durch die externen Auditoren erfolgt, empfiehlt es sich, die Einhaltung der Vorgaben des ISMS im Rah-men eines internen Audits zu prüfen. Hierdurch können einer-seits größere Schwachstellen noch selbst identifiziert und be-seitigt werden. Darüber hinaus werden die Verantwortlichen für die Umsetzung des ISMS be-reits mit der Situation eines Au-dits konfrontiert und somit auf das externe Audit vorbereitet.

Die Durchführung des Vor-Ort-Audits durch die externen Auditoren erfolgt je nach Kom-plexität des Netzbetreibers an einem oder mehreren Tagen. Die im Rahmen des Vor-Ort-Audits durchzuführenden Ge-spräche werden hierzu vorab in einem Auditplan fixiert. Welche

Gespräche geführt werden, entscheiden die externen Audi-toren eigenverantwortlich auf Basis der eingereichten Unterla-gen zum ISMS.

Die Ergebnisse des Audits werden durch die Auditoren in einem schriftlichen Auditbericht dokumentiert. Diesen Auditbe-richt erhalten sowohl der Netz-betreiber als auch die Zertifizie-rungsstelle des Zertifizierers.

Falls die Konformität des ISMS mit ISO 27001 festgestellt werden kann, erfolgt die Aus-stellung und Zusendung des Zertifikats durch den Zertifizie-rer an den Netzbetreiber. Falls die Konformität mit ISO 27001 nicht festgestellt werden kann, ist eine Wiederholung des Au-dits erforderlich, sobald die im Auditbericht dokumentierten Abweichungen beseitigt wur-den. Denn jeder Netzbetreiber wird in Zukunft ein Zertifikat benötigen.

Fazit: Der Aufwand für den initialen Aufbau und die Eta-blierung eines ISMS nach ISO 27001 sollte nicht unter-schätzt werden. Die BNetzA hat im Entwurf des IT-Sicher-heitskataloges vorgesehen, dass allen Netzbetreibern hierfür ein Zeitraum von ei-nem Jahr zur Verfügung steht. Dieser ambitionierte Zeitraum wurde u. a. durch den VKU im Rahmen der Konsultation des IT-Sicherheitskatalogs kritisch hinterfragt. Es ist sehr wahrscheinlich, dass der Um-setzungszeitraum seitens der BNetzA noch verlängert wird. Wir empfehlen dennoch, früh-

zeitig mit dem Aufbau des ISMS zu beginnen. Auf Basis unser umfassenden Kenntnis-se der Energieversorgungs-branche sowie der langjähri-gen Erfahrung beim Aufbau von Managementsystemen unterstützen wir Sie hierbei gerne. Sprechen Sie uns an!

Abb. 6: Ablauf einer Zertfizierung

Dr. Joachim Cramer

Jahrgang: 1963

Studienabschluss/Titel: Dr. rer. nat.,

Diplom-Informatiker

Studium: Studium der Informatik

an der Universität Dortmund

Werdegang: 1988 – 1998 Entwick-

lungsleiter und QM-Beauftragter

in einem mittelständischen

Softwarehaus; 1994 – 2001: Lei-

ter des Arbeitskreises Software-

Qualitätsmanagement im BVIT/

BITKOM; 1998 – 2009 Leiter

der Organisationseinheiten für

IT-Strategie, IT-Controlling, IT-

Portfolio-Management, IT-Infra-

struktur und IT-Sicherheit in der

CIO-Funktion des RWE-Konzerns;

seit 2009 cronos Unternehmens-

beratung; Mitglied der Geschäfts-

leitung, verantwortlich für die

IT-Management-Beratung

Tätigkeitsschwerpunkte:

Sämtliche Themenstellungen der

IT-Management-Beratung

Aktuelle Projekte:

- Entwicklung von IT-Strategien

- Auswahl von IT-Dienstleistern

- Aufbau von ISMS

Prüfung ISMS-Unterlagen

Vorbereitung Vor-Ort-Audit

Durchführung Vor-Ort-Audit

Erstellung Auditbericht

Ausstellung Zertifikat

33cronos info 35 · Dezember 2014 IT-Strategie